洞态IAST Python探针内测版发布

  • A+
所属分类:安全工具

01

背景


洞态 IAST 首发 Python-agent 尝鲜,验证 Agent 针对路径穿越漏洞的检测能力。


洞态 IAST 的检测方式是扫描运行中的应用程序,将扫描到的漏洞信息发送到云端进行检测处理。


02

验证方式


本次验证选择在本地启动python靶场,安装dongtai-iast Python探针,请求靶场Api,做漏洞检测。


03

本地环境搭建


1.克隆 python 靶场 源码


$ git clone https://github.com/jinghao1/python_range_demo


注:python_range_demo 靶场,存在路径穿越漏洞。运行环境为python3.8,使用的Django3.2版本


2.使用 PyCharm 打开靶场项目,Python运行版本选择3.8版本


04

Python-agent的下载与安装


1.下载 DongTai IAST 插件, 需要登录洞态 IAST系统,进入部署IAST页面,点击下载(同时,也可以使用shell命令curl下载)


洞态IAST Python探针内测版发布


2.安装


3.找到下载的安装包,因为当前agent版本只支持python3,所以执行 pip3 install ./dongtai-agent-python.tar.gz

当你看到以下截图内容,说明已经安装成功


洞态IAST Python探针内测版发布


4.配置


5.找到python_range_demo/mysite/mysite/settings.py文件,找到MIDDLEWARE所在行,插入一条


"dongtai_agent_python.middlewares.django_middleware.FireMiddleware",


6.修改环境变量


7.打开Pycharm环境配置,修改环境变量,增加projectName="testProject",这里添加的环境变量为洞态IAST的项目名称,系统数据通过项目名称做匹配关联。


洞态IAST Python探针内测版发布


8.登录洞态IAST,新增项目,项目名称与agent端环境变量projectName保持一致


洞态IAST Python探针内测版发布


官方文档:


https://hxsecurity.github.io/DongTai-Doc/#/doc/deploy/python


05

运行项目


1.直接重启项目


洞态IAST Python探针内测版发布


访问 http://127.0.0.1:8007/demo/no_hook , 若返回{"status": "201"},说明项目启动成功


查看洞态【系统配置】-> 【引擎管理】,如截图,说明agent启动成功


洞态IAST Python探针内测版发布


若项目agent启动失败,请依次检查


洞态IAST Python探针内测版发布


06

漏洞检测


1.测试项目功能,开始被动式挖洞。分别使用postman发送以下两个请求


洞态IAST Python探针内测版发布


洞态IAST Python探针内测版发布


2. 登录洞态IAST


打开【应用漏洞】,头部信息筛选,开发语言选择【Python】,置空漏洞状态


洞态IAST Python探针内测版发布


查看“/demo/post_open的POST请求出现路径穿越漏洞”,选中它然后点击查看详情,跳转到洞态IAST漏洞详情页面,开始分析漏洞


洞态IAST Python探针内测版发布


07

漏洞验证


直接修改form-data,name内容,修改为"mysite/settings.py",发送请求


洞态IAST Python探针内测版发布


通过修改变量内容,请求,直接返回了settings.py文件代码内容,漏洞验证成功。


08

总结


通过本次测试发现洞态IAST可以检测路径穿越漏洞,只需简单的安装配置,十分方便,推荐大家尝试、使用。


09

参考


https://github.com/HXSecurity/DongTai


账号申请

SaaS版本地址:https://iast.huoxian.cn

SaaS版本账号申请

洞态IAST Python探针内测版发布

洞态IAST合作伙伴计划之整体开源联合开发,申请方式请扫描下方二维码

洞态IAST Python探针内测版发布

如需加入技术讨论群,扫描二维码添加微信并备注"洞态IAST-加群",工作人员将拉您进群

洞态IAST Python探针内测版发布
洞态IAST Python探针内测版发布


【火线短视频精选】



【周度激励】2021.8.2 ~ 2021.8.8公告


洞态IAST Python探针内测版发布



【相关精选文章】


vip业务权限漏洞挖掘入门姿势实战


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!

洞态IAST Python探针内测版发布

本文始发于微信公众号(火线Zone):洞态IAST Python探针内测版发布

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: